亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法及系統(tǒng)的制作方法

文檔序號(hào):7657065閱讀:206來(lái)源:國(guó)知局
專利名稱:主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明屬于網(wǎng)絡(luò)安全防御領(lǐng)域,具體涉及一種通過(guò)對(duì)地址解析協(xié)議請(qǐng) 求報(bào)文進(jìn)行加密處理的數(shù)據(jù)通信網(wǎng)絡(luò)安全防御方法及防御系統(tǒng)。
背景技術(shù)
以太網(wǎng)協(xié)議是由一組IEEE 802.3標(biāo)準(zhǔn)定義的局域網(wǎng)協(xié)議集?,F(xiàn)已是 最為常用的局域網(wǎng)鏈路層協(xié)議。二層以太網(wǎng)交換機(jī)是基于鏈路層的物理地 址進(jìn)行包交換的 一種設(shè)備。
IP協(xié)議是目前應(yīng)用最為廣泛的數(shù)據(jù)通信網(wǎng)絡(luò)層協(xié)議標(biāo)準(zhǔn)。IP協(xié)議使用 32bit的IP地址來(lái)唯一標(biāo)識(shí)設(shè)備,數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)層之上的傳播都是基于 IP地址來(lái)完成尋址的。但I(xiàn)P地址僅僅對(duì)網(wǎng)絡(luò)層有效,承載IP網(wǎng)絡(luò)的硬件 設(shè)備并不依賴于IP地址來(lái)進(jìn)行尋址。比如,以太網(wǎng)物理設(shè)備是使用唯一的 48bit以太網(wǎng)地址來(lái)識(shí)別硬件接口 ,在鏈路層中從不檢查IP數(shù)據(jù)報(bào)中的目 的IP地址。在廣播網(wǎng)絡(luò)上,這兩種地址形式之間的映射是由地址解析協(xié)議 完成的,該映射過(guò)程是自動(dòng)完成的。
在實(shí)現(xiàn)地址解析協(xié)議的系統(tǒng)中,地址解析協(xié)議會(huì)動(dòng)態(tài)生成并在一段時(shí) 間內(nèi)保留IP地址和硬件地址之間的映射關(guān)系,在需要使用硬件地址的時(shí) 候,系統(tǒng)會(huì)以IP地址為唯一標(biāo)識(shí)查找映射關(guān)系,所找到的映射關(guān)系中的硬 件地址就是在物理網(wǎng)絡(luò)上傳發(fā)才艮文所需的硬件可識(shí)別的地址。此種映射關(guān) 系的生成,依賴于地址解析協(xié)議的兩種協(xié)議報(bào)文,地址解析協(xié)議請(qǐng)求和地 址解析協(xié)議應(yīng)答。
當(dāng)運(yùn)行地址解析協(xié)議的系統(tǒng)沒(méi)有能夠找到所需要的IP地址和硬件地 址的映射關(guān)系時(shí),該系統(tǒng)就會(huì)發(fā)送地址解析協(xié)議請(qǐng)求"^良文,請(qǐng)求所需要的 IP地址的石更件地址。發(fā)出請(qǐng)求的系統(tǒng)會(huì)將自己的IP地址和硬件地址對(duì)應(yīng) 關(guān)系包含在這個(gè)報(bào)文中,并指明需要請(qǐng)求硬件地址的IP地址信息。此報(bào)文 在網(wǎng)絡(luò)中以廣播的方式廣泛發(fā)送。根據(jù)通常的實(shí)現(xiàn),任何一個(gè)接收到這個(gè) 地址解析協(xié)議請(qǐng)求報(bào)文并運(yùn)行地址解析協(xié)議的系統(tǒng),都應(yīng)該使用這個(gè)請(qǐng)求 報(bào)文中所包含的請(qǐng)求發(fā)送者的IP地址和硬件地址信息生成映射關(guān)系,如果 已經(jīng)存在以這個(gè)IP地址為標(biāo)識(shí)的映射關(guān)系,則應(yīng)該4吏用此^l艮文中的硬件地 址更新這個(gè)映射關(guān)系。
當(dāng)某個(gè)運(yùn)行地址解析協(xié)議的系統(tǒng)發(fā)現(xiàn)接收到的地址解析協(xié)議請(qǐng)求報(bào) 文中所指明的需要請(qǐng)求硬件地址的IP地址是自己的IP地址時(shí),則會(huì)向請(qǐng) 求者發(fā)送地址解析協(xié)議應(yīng)答報(bào)文。將自己的硬件地址通知請(qǐng)求者,這個(gè)報(bào) 文是單播方式發(fā)送的,當(dāng)請(qǐng)求者接收到這個(gè)應(yīng)答報(bào)文之后,就可以根據(jù)這 個(gè)應(yīng)答報(bào)文中包含的信息生成對(duì)應(yīng)IP地址和硬件地址之間的映射關(guān)系。
地址解析協(xié)議正常運(yùn)行的關(guān)鍵,是保證IP地址和硬件地址的映射關(guān)系 的正確性。運(yùn)行地址解析協(xié)議的系統(tǒng)并不能主動(dòng)發(fā)現(xiàn)映射關(guān)系是否錯(cuò)誤, 如果生成了錯(cuò)誤的映射關(guān)系,報(bào)文的發(fā)送者將會(huì)根據(jù)錯(cuò)誤的硬件地址發(fā)送 報(bào)文,接收者無(wú)法收到報(bào)文,從而導(dǎo)致數(shù)據(jù)轉(zhuǎn)發(fā)的中斷,更為嚴(yán)重的是, 由于報(bào)文的發(fā)送者認(rèn)為自己已經(jīng)有了報(bào)文接收者的硬件地址,因此就不會(huì) 發(fā)送地址解析協(xié)議的請(qǐng)求報(bào)文來(lái)更新這個(gè)映射關(guān)系,這種錯(cuò)誤的映射就會(huì) 在一定時(shí)間內(nèi)一直保持,直到涉及報(bào)文發(fā)送的雙方發(fā)送了地址解析協(xié)議報(bào) 文才有可能的被糾正,這會(huì)嚴(yán)重影響數(shù)據(jù)網(wǎng)絡(luò)的使用。
針對(duì)地址解析協(xié)議的這個(gè)弱點(diǎn),惡意的攻擊者可以通過(guò)偽造地址解析 協(xié)議應(yīng)答^^文的方法來(lái)實(shí)現(xiàn)對(duì)運(yùn)行地址解析協(xié)議的網(wǎng)絡(luò)的攻擊。
以下舉出具體實(shí)施例對(duì)存在的問(wèn)題進(jìn)行說(shuō)明現(xiàn)有技術(shù)中信息發(fā)送端 與信息接收端的通訊過(guò)程為第一步當(dāng)信息發(fā)送端主機(jī)A與信息接收端 主機(jī)B開(kāi)始通信時(shí),主機(jī)A需要查找自存儲(chǔ)的地址解析協(xié)議表[主機(jī)名IP 地址與物理地址對(duì)應(yīng)關(guān)系表],查找主機(jī)B的物理地址,如查到則跳轉(zhuǎn)到第 五步與信息接收端主機(jī)B進(jìn)行信息通訊;如果在主機(jī)A的自存儲(chǔ)地址解析 協(xié)議表內(nèi)沒(méi)有找到主機(jī)B的物理地址則執(zhí)行地址解析協(xié)議學(xué)習(xí)流程,進(jìn)入 第二步;第二步、主機(jī)A將向網(wǎng)內(nèi)廣播一個(gè)地址解析協(xié)議請(qǐng)求,請(qǐng)求主 機(jī)B所對(duì)應(yīng)的物理地址;第三步、在此局域網(wǎng)絡(luò)中的所有終端將會(huì)收到此 地址解析協(xié)議請(qǐng)求,主機(jī)B收到此請(qǐng)求,發(fā)現(xiàn)這個(gè)請(qǐng)求是自己,其將回應(yīng) 主機(jī)A—個(gè)單播地址解析協(xié)議回應(yīng),告訴其自己的物理地址;第四步、主 機(jī)A收到這個(gè)地址解析協(xié)議回應(yīng),將主機(jī)B的IP地址與主機(jī)B的物理地 址對(duì)應(yīng)關(guān)系存入主機(jī)A的地址解析協(xié)議表內(nèi);第五步、主機(jī)A查找地址解 析協(xié)議表中的B主機(jī)的物理地址與B主機(jī)進(jìn)行通訊。
在上述流程中有幾個(gè)安全漏洞,可能被病毒或人為程序所利用,常用的 攻擊方法有下面三種
第一種安全漏洞物理地址偽冒攻擊。物理地址^:騙行為發(fā)生在上述 流程的第三步,此時(shí)因?yàn)榈刂方馕鰠f(xié)議請(qǐng)求報(bào)文是個(gè)廣播報(bào)文,現(xiàn)有普通二層交換機(jī)會(huì)向所有終端進(jìn)行廣播,此請(qǐng)求報(bào)文在此局域網(wǎng)絡(luò)中的所有終 端都會(huì)收到,例如主機(jī)C也收到了給地址解析協(xié)議請(qǐng)求報(bào)文,如果主機(jī)C 上有病毒或惡意程序,它可以偽裝成主機(jī)B發(fā)送地址解析協(xié)議回應(yīng)報(bào)文給
主機(jī)A,在第四步中,主機(jī)A收到此偽裝地址解析協(xié)議"I艮文,會(huì)將其與主 機(jī)C的物理地址對(duì)應(yīng)關(guān)系存入其自身的地址解析協(xié)議表中,這樣以后主機(jī) A與主機(jī)B通訊時(shí)的所有數(shù)據(jù)將全部發(fā)送給主機(jī)C,這樣主機(jī)C就可以成 功截獲主機(jī)A和主機(jī)B之間的所有通訊數(shù)據(jù)信息。
第二種安全漏洞物理地址泛濫攻擊,導(dǎo)致網(wǎng)絡(luò)癱瘓。通常廣播網(wǎng)絡(luò) 內(nèi)作為網(wǎng)關(guān)的設(shè)備的地址解析協(xié)議映射的數(shù)量是有限的,如果攻擊者大量 發(fā)送分別偽冒不同源IP地址的地址解析報(bào)文請(qǐng)求報(bào)文,就可以使整個(gè)廣播 網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)出現(xiàn)故障,此時(shí)攻擊也可以被稱為地址解析協(xié)議泛濫攻擊。
第三種安全漏洞物理地址偽冒導(dǎo)致IP沖突。通常的IP以太網(wǎng)主機(jī) 系統(tǒng)為防止IP地址沖突,會(huì)在聯(lián)網(wǎng)的最初階段向外發(fā)送幾個(gè)地址解析協(xié)議 宣告,查詢此IP是否有人已經(jīng)占用,如果有人占用,則此主機(jī)不可使用此 IP,這就有可能有惡意攻擊者在收到此宣告后,發(fā)起一個(gè)響應(yīng),偽裝已經(jīng) 占用jt匕IP造成;t匕主才幾不可if關(guān)網(wǎng)。
目前針對(duì)這些攻擊行為的唯一解決方案只有禁用主機(jī)地址解析協(xié)議功 能,使用靜態(tài)配置地址解析協(xié)議映射關(guān)系方法。
如前文所說(shuō),地址解析協(xié)議映射關(guān)系是動(dòng)態(tài)生成的,也正因?yàn)槭莿?dòng)態(tài) 生成的,給惡意的攻擊造成了偽冒其他用戶發(fā)送報(bào)文,阻斷數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā) 的機(jī)會(huì)。而靜態(tài)配置地址解析協(xié)議是指用戶配置生成IP地址和硬件地址的 映射關(guān)系報(bào)文,而且這個(gè)映射關(guān)系是不隨著時(shí)間而變更的。因?yàn)槠鋬?yōu)先級(jí) 高于通過(guò)地址解析協(xié)議產(chǎn)生的動(dòng)態(tài)的映射關(guān)系,因此也不會(huì)隨著地址解析 協(xié)議報(bào)文中所攜帶的信息進(jìn)行變更。靜態(tài)配置地址解析協(xié)議映射關(guān)系雖然 可以有效地解決地址解析協(xié)議偽冒、泛濫攻擊造成地?cái)?shù)據(jù)報(bào)文轉(zhuǎn)發(fā)被阻斷 地問(wèn)題,但是,靜態(tài)配置地址解析協(xié)議映射關(guān)系必須要人工生成并維護(hù)大 量地IP地址和硬件地址的映射關(guān)系,完全廢棄了地址解析協(xié)議所帶來(lái)的益 處,實(shí)際上僅僅是模擬了地址解析協(xié)議生成的最終結(jié)果,而摒棄了地址解 析協(xié)議本身。

發(fā)明內(nèi)容
為了更好的解決現(xiàn)有技術(shù)中存在的物理地址偽冒攻擊、物理地址泛濫 攻擊和物理地址偽冒導(dǎo)致IP沖突等技術(shù)問(wèn)題,本發(fā)明提供了 一種主管加密
式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法。
利用該主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法本發(fā)明還提供了 一種主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng)。
本發(fā)明解決現(xiàn)有技術(shù)問(wèn)題所采用的技術(shù)方案為提供一種主管加密式防
攻擊信息通訊網(wǎng)絡(luò)安全防御方法,所述防^^方法包括步驟:第一、通過(guò)橋接 裝置將請(qǐng)求端的地址解析協(xié)議信息單向發(fā)送至加密部;第二、通過(guò)所述加 密部對(duì)所述信息加密后進(jìn)行發(fā)送;第三、通過(guò)所述地址解析協(xié)議代理部對(duì) 加密信息進(jìn)行解密、確認(rèn);第四、所述請(qǐng)求端根據(jù)所述地址解析協(xié)議代理
部的確認(rèn)信息與目的端進(jìn)行通訊。
根據(jù)本發(fā)明的一優(yōu)選實(shí)施例所述第 一步中所述信息為所述請(qǐng)求端的 地址解析協(xié)議宣告和所述目的端的地址查詢信息。
根據(jù)本發(fā)明的一優(yōu)選實(shí)施例在進(jìn)行第一步之前所述地址解析協(xié)議代 理部涵蓋有各終端正確的地址信息,并通過(guò)所述地址解析代理部進(jìn)行管理。
根據(jù)本發(fā)明的一優(yōu)選實(shí)施例所述地址解析代理部建立有地址解析協(xié)
議表,所述地址解析協(xié)議表包含各終端IP地址與物理地址的對(duì)應(yīng)關(guān)系信 臺(tái)、
根據(jù)本發(fā)明的一優(yōu)選實(shí)施例所述第二步進(jìn)一步包括子步驟首先、 對(duì)所述請(qǐng)求端發(fā)送的信息進(jìn)行檢測(cè),確認(rèn)地址解析協(xié)議請(qǐng)求;其次、通過(guò) 所述加密部對(duì)所述地址解析協(xié)議請(qǐng)求數(shù)據(jù)包進(jìn)行加密;最后、將所述加密 后的所述地址解析協(xié)議請(qǐng)求向網(wǎng)內(nèi)廣播發(fā)送或直接單向發(fā)送至地址解析協(xié) 議代理部。
才艮據(jù)本發(fā)明的一優(yōu)選實(shí)施例所述第三步進(jìn)一步包括子步驟首先、 所述地址解析協(xié)議代理部對(duì)所述加密信息進(jìn)行解密;其次、所述地址解析 協(xié)議代理部對(duì)所述請(qǐng)求端自身地址信息是否被占用進(jìn)行確認(rèn),并將所述確 認(rèn)信息單向發(fā)送至所述請(qǐng)求端;最后、所述地址解析協(xié)議代理部對(duì)所述請(qǐng) 求端的查詢目的端的地址信息請(qǐng)求進(jìn)行確認(rèn),并將所述確認(rèn)信息單向發(fā)送 至所述請(qǐng)求端。
'根據(jù)本發(fā)明的一優(yōu)選實(shí)施例所述第四步進(jìn)一步包括子步驟 一、所 述請(qǐng)求端將接收到的所述地址解析協(xié)議代理部反饋回的所述目的端的地址 信息進(jìn)行存儲(chǔ);二、所述請(qǐng)求端與所述目的端進(jìn)行單向通訊。
本發(fā)明還提供了 一種主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng),所述防御系統(tǒng)包括地址解析協(xié)議代理部,具有加密功能的橋接裝置和通 訊終端,其中,所述各通訊終端與所述橋接裝置連接,所述橋接裝置與所 述地址解析協(xié)議代理部連接,所述各終端相互之間通訊通過(guò)所述地址解析 協(xié)議代理部進(jìn)行地址信息的存儲(chǔ)和管理。
根據(jù)本發(fā)明的一優(yōu)選實(shí)施例所述地址解析協(xié)議代理部為獨(dú)立裝置或
部署于相關(guān)裝置上的功能部件或者軟件。
根據(jù)本發(fā)明的一優(yōu)選實(shí)施例所述橋接裝置為交換機(jī)或路由器。 本發(fā)明中各終端在聯(lián)網(wǎng)時(shí)只對(duì)加密部單向發(fā)送一個(gè)地址解析協(xié)議宣告 廣播數(shù)據(jù)包,通過(guò)加密部將地址解析協(xié)議廣播重新加密封閉成只有地址解 析協(xié)議代理部才能解悉的特殊的廣播數(shù)據(jù)包,并對(duì)內(nèi)網(wǎng)的所有的設(shè)備發(fā)送 重新封閉后的新的特殊廣播數(shù)據(jù)包,內(nèi)網(wǎng)中的設(shè)備收到該經(jīng)過(guò)加密處理后 的廣播數(shù)據(jù)包后不能對(duì)此廣播數(shù)據(jù)包進(jìn)行解悉,因此請(qǐng)求端可以直接從地 址解析協(xié)議代理部上查詢?cè)揑P是否被內(nèi)網(wǎng)其他設(shè)備占用,解決地址解析協(xié) 議中物理地址偽冒導(dǎo)致IP沖突的技術(shù)問(wèn)題。該方法中經(jīng)過(guò)加密處理后的地 址解析協(xié)議也可以不向內(nèi)網(wǎng)中的所有設(shè)備發(fā)送,而直接單向發(fā)送給所述地 址解析協(xié)議代理部進(jìn)行解密,查詢?cè)揑P是否被內(nèi)網(wǎng)其他設(shè)備占用,解決地 址解析協(xié)議中物理地址偽冒導(dǎo)致IP沖突的技術(shù)問(wèn)題。
本發(fā)明中請(qǐng)求端是在地址解析協(xié)議代理部上直接查詢?cè)揑P是否被內(nèi) 網(wǎng)其他機(jī)器占用,有效的解決了地址解析協(xié)議中物理地址偽冒導(dǎo)致IP沖
本發(fā)明中終端設(shè)備在相互通信時(shí)地址解析協(xié)議請(qǐng)求廣播包不會(huì)對(duì)內(nèi)網(wǎng) 所有的終端設(shè)備發(fā)送,而是直接通過(guò)地址解析協(xié)議代理部獲取相關(guān)通信終 端設(shè)備的物理地址。有效的解決了物理地址偽冒攻擊。
通過(guò)在交換機(jī)上對(duì)廣播數(shù)據(jù)的發(fā)送頻率進(jìn)行處理,防止攻擊者大量發(fā) 送偽冒地址解析請(qǐng)求報(bào)文,解決地址解析協(xié)議泛濫攻擊。
本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法原理簡(jiǎn)單,設(shè)計(jì) 合理,通過(guò)防御系統(tǒng)在實(shí)際中的應(yīng)用能非常好的解決現(xiàn)有技術(shù)中存在的物 理地址偽冒攻擊、物理地址泛濫攻擊和物理地址偽冒導(dǎo)致IP沖突等技術(shù)問(wèn) 題,具有4艮高的實(shí)用性。


圖1為本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法流程圖2為本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng)結(jié)構(gòu)圖。
具體實(shí)施方式
以下結(jié)合

具體實(shí)施方式
對(duì)本發(fā)明進(jìn)一步說(shuō)明。 請(qǐng)參閱圖1本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法流程 圖,如圖1所示本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法,包
括主要步驟第一、通過(guò)橋接裝置200將請(qǐng)求端的地址解析協(xié)議信息單向 發(fā)送至加密部204;第二、通過(guò)所述加密部204對(duì)所述信息加密后進(jìn)行發(fā) 送;第三、通過(guò)所述地址解析協(xié)議代理部201對(duì)加密信息進(jìn)行解密、確認(rèn); 第四、所述請(qǐng)求端根據(jù)所述地址解析協(xié)議代理部201的確認(rèn)信息與目的端 進(jìn)行通訊。
其中,所述第一步中所述信息為所述請(qǐng)求端的地址解析協(xié)議宣告和對(duì) 所述目的端的地址查詢信息。在進(jìn)行第一步之前所述地址解析協(xié)議代理部 201涵蓋有各終端正確的地址信息,并通過(guò)所述地址解析代理部進(jìn)行管理。 所述地址解析代理部建立有地址解析協(xié)議表,所述地址解析協(xié)議表包含各 終端IP地址與物理地址的對(duì)應(yīng)關(guān)系信息。本發(fā)明實(shí)施例中所述將各終端正 確的地址信息存入所述地址解析協(xié)議代理部201的方法可以手工配置。
所述第二步進(jìn)一步包括子步驟首先、對(duì)所述請(qǐng)求端發(fā)送的信息進(jìn)行 才企測(cè),確認(rèn)地址解析協(xié)議請(qǐng)求;其次、通過(guò)所述加密部204對(duì)所述地址解 析協(xié)議請(qǐng)求數(shù)據(jù)包進(jìn)行加密;最后、將所述加密后的所述地址解析協(xié)議請(qǐng) 求向網(wǎng)內(nèi)廣播發(fā)送或直接單向發(fā)送至地址解析協(xié)議代理部201。
所述第三步進(jìn)一步包括子步驟首先、所述地址解析協(xié)議代理部201 對(duì)所述加密信息進(jìn)行解密;其次、所述地址解析協(xié)議代理部201對(duì)所述請(qǐng) 求端自身地址信息是否被占用進(jìn)行確認(rèn),并將所述確認(rèn)信息單向發(fā)送至所 述請(qǐng)求端;最后、所述地址解析協(xié)議代理部201對(duì)所述請(qǐng)求端的查詢目的 端的地址信息請(qǐng)求進(jìn)行確認(rèn),并將所述確認(rèn)信息單向發(fā)送至所述請(qǐng)求端。
所述第四步進(jìn)一步包括子步驟 一、所述請(qǐng)求端將接收到的所述地址 解析協(xié)議代理部201反饋回的所述目的端的地址信息進(jìn)行存儲(chǔ);二、所述 請(qǐng)求端與所述目的端進(jìn)行單向通訊。
請(qǐng)參閱圖2本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng)結(jié)構(gòu) 圖,如圖2所示一種主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng),所述 防御系統(tǒng)包括地址解析協(xié)議代理部20],具有加密功能的橋接裝置200和通訊終端,其中,所述各通訊終端與所述橋接裝置200連接,所述橋接
裝置200與所述地址解析協(xié)議代理部201連接,所述各終端相互之間通訊 通過(guò)所述地址解析協(xié)議代理部201進(jìn)行地址信息的存儲(chǔ)和管理。
所述地址解析協(xié)議代理部201為獨(dú)立裝置或部署于相關(guān)裝置上的功能 部件。所述橋接裝置200為交換機(jī)或路由器。
以下舉出一具體實(shí)施例對(duì)本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全
防御問(wèn)題進(jìn)行詳細(xì)說(shuō)明,說(shuō)明中可同時(shí)參閱圖1和圖2。在本實(shí)施例中所 述橋接裝置200為交換機(jī)。
第一步, 用戶首先將正確的終端設(shè)備的IP對(duì)應(yīng)的物理地址寫(xiě)入地址解析協(xié)議代理部201 ,并運(yùn)行地址解析協(xié)議代理部201;
第二步、當(dāng)所有終端設(shè)備在最初聯(lián)網(wǎng)時(shí),會(huì)向網(wǎng)內(nèi)交換機(jī)200的連接 端口送一個(gè)地址解析協(xié)議宣告廣播包。
第三步、交換機(jī)200對(duì)交換端口的入口中的廣播數(shù)據(jù)包進(jìn)行檢測(cè),發(fā) 現(xiàn)是地址解析協(xié)議請(qǐng)求報(bào)文時(shí),則將該廣播數(shù)據(jù)發(fā)給加密模塊,在本實(shí)用新 型中的加密通過(guò)中央處理器進(jìn)行;
第四步、交換機(jī)200上的中央處理器收到此報(bào)文,對(duì)此報(bào)文進(jìn)行加密 處理后重新封裝成非地址解析協(xié)議報(bào)文的特殊廣播報(bào)文,重新從交換機(jī) 200上廣播出去;
第五步、地址解析協(xié)議代理部201主機(jī)收到此特殊廣播:R文后,進(jìn)行 解密轉(zhuǎn)換成正常地址解析協(xié)議報(bào)文,交給地址解析協(xié)議代理程序確認(rèn),通 過(guò)地址解析協(xié)議代理回應(yīng)此地址解析協(xié)議請(qǐng)求;
第六步、所有終端設(shè)備#4居地址解析協(xié)議代理部201的回應(yīng)包查詢自 己的IP是否^皮占用。
第七步、當(dāng)終端設(shè)備A202與終端設(shè)備B203開(kāi)始通信時(shí),終端設(shè)備 A202首先查找自身存儲(chǔ)的地址解析協(xié)議表[終端設(shè)備IP地址與物理地址對(duì) 應(yīng)關(guān)系表],查找終端設(shè)備B203的物理地址,如查到則跳轉(zhuǎn)到第十四步與 B終端設(shè)備進(jìn)行通訊;如果沒(méi)找到終端設(shè)備B203的物理地址則執(zhí)行地址 解析協(xié)議學(xué)習(xí)流程進(jìn)入第八步;
第八步、終端設(shè)備A202將會(huì)單向向網(wǎng)內(nèi)交換機(jī)200的指定端口送一 個(gè)地址解析協(xié)議宣告廣播包,請(qǐng)求終端設(shè)備B203所對(duì)應(yīng)的物理地址;
第九步、交換機(jī)200對(duì)交換端口的入口中的廣播數(shù)據(jù)包進(jìn)行檢測(cè),發(fā)
現(xiàn)是地址解析協(xié)議請(qǐng)求報(bào)文時(shí),則將該廣播數(shù)據(jù)發(fā)給加密模塊;
第十步、交換機(jī)200上的中央處理器收到此報(bào)文,對(duì)此報(bào)文進(jìn)行加密
處理后重新封裝成非地址解析協(xié)議報(bào)文的特殊廣播報(bào)文,重新從交換機(jī)
200上廣播出去;
第十一步、地址解析協(xié)議代理部201主機(jī)收到此特殊廣播報(bào)文后,進(jìn) 行解密。
第十二步、地址解析協(xié)議代理部201將收到的地址解析協(xié)議請(qǐng)求報(bào)文 中的請(qǐng)求IP在物理表中查找到正確的終端設(shè)備B203的物理地址,將向終 端設(shè)備A202單向發(fā)送終端設(shè)備B203的地址解析協(xié)議回應(yīng)報(bào)文;
第十三步、終端設(shè)備A202收到這個(gè)地址解析協(xié)議回應(yīng)報(bào)文后,將終 端設(shè)備B203的IP地址與終端設(shè)備B203的物理地址對(duì)應(yīng)關(guān)系存入終端設(shè) 備A202的地址解析協(xié)議表,以備下次與終端設(shè)備B203通訊時(shí)使用;
第十四步、終端設(shè)備A202根據(jù)終端設(shè)備B的物理地址與終端設(shè)備 B203進(jìn)行單向通訊。
本發(fā)明中術(shù)語(yǔ)在行業(yè)內(nèi)有不同寫(xiě)法,例如:本專利中所述地址解析協(xié)議 可寫(xiě)成ARP;所述物理地址也可寫(xiě)成MAC地址。
以上內(nèi)容是結(jié)合具體的優(yōu)選實(shí)施方式對(duì)本發(fā)明所作的進(jìn)一步詳細(xì)說(shuō) 明,不能認(rèn)定本發(fā)明的具體實(shí)施只局限于這些說(shuō)明。對(duì)于本發(fā)明所屬技術(shù) 領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若 干簡(jiǎn)單推演或替換,都應(yīng)當(dāng)視為屬于本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法,其特征在于所述防御方法包括步驟A通過(guò)橋接裝置(200)將請(qǐng)求端的地址解析協(xié)議信息單向發(fā)送至加密部(204);B通過(guò)所述加密部(204)對(duì)所述信息加密后進(jìn)行發(fā)送;C通過(guò)所述地址解析協(xié)議代理部(201)對(duì)加密信息進(jìn)行解密、確認(rèn);D所述請(qǐng)求端根據(jù)所述地址解析協(xié)議代理部(201)的確認(rèn)信息與目的端進(jìn)行通訊。
2. 根據(jù)權(quán)利要求1所述防御方法,其特征在于所述步驟A中所述信 息為所述請(qǐng)求端的地址解析協(xié)議宣告和對(duì)所述目的端的地址查詢信息。
3. 根據(jù)權(quán)利要求1所述防御方法,其特征在于在進(jìn)行步驟A之前所 述地址解析協(xié)議代理部(201)涵蓋有各終端正確的地址信息,并通過(guò)所述地 址解析代理部進(jìn)行管理。
4. 根據(jù)權(quán)利要求3所述防御方法,其特征在于所述地址解析代理部 建立有地址解析協(xié)議表,所述地址解析協(xié)議表包含各終端IP地址與物理地 址的對(duì)應(yīng)關(guān)系信息。
5. 根據(jù)權(quán)利要求1所述防御方法,其特征在于所述步驟B進(jìn)一步包 括子步驟Bl:對(duì)所述請(qǐng)求端發(fā)送的信息進(jìn)行檢測(cè),確認(rèn)地址解析協(xié)議請(qǐng)求; B2:通過(guò)所述加密部(204)對(duì)所述地址解析協(xié)議請(qǐng)求數(shù)據(jù)包進(jìn)行加密; B3:將所述加密后的所述地址解析協(xié)議請(qǐng)求向網(wǎng)內(nèi)廣播發(fā)送或直接單 向發(fā)送至地址解析協(xié)議代理部(201)。
6. 根據(jù)權(quán)利要求1所述防御方法,其特征在于所述步驟C進(jìn)一步包 括子步驟Cl :所述地址解析協(xié)議代理部(201)對(duì)所述加密信息進(jìn)行解密; C2:所述地址解析協(xié)議代理部(201)對(duì)所述請(qǐng)求端自身地址信息是否被占用進(jìn)行確認(rèn),并將所述確認(rèn)信息單向發(fā)送至所述請(qǐng)求端;C3:所述地址解析協(xié)議代理部(201)對(duì)所述請(qǐng)求端的查詢目的端的地址信息請(qǐng)求進(jìn)行確認(rèn),并將所述確認(rèn)信息單向發(fā)送至所述請(qǐng)求端。
7. 根據(jù)權(quán)利要求1所述防御方法,其特征在于所述步驟D進(jìn)一步包 括子步驟Dl :所述請(qǐng)求端將接收到的所述地址解析協(xié)議代理部(201 )反饋回的所 述目的端的地址信息進(jìn)行存儲(chǔ);D2:所述請(qǐng)求端與所述目的端進(jìn)行單向通訊。
8. —種主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御系煞,其特征在于 所述防御系統(tǒng)包括地址解析協(xié)議代理部(201),具有加密功能的橋接裝置 (200)和通訊終端,其中,所述各通訊終端與所述橋接裝置(200)連接,所述橋接裝置(200) 與所述地址解析協(xié)議代理部(201)連接,所述各終端相互之間通訊需要的地 址信息通過(guò)所述地址解析協(xié)議代理部(201)進(jìn)行存儲(chǔ)和管理。
9. 根據(jù)權(quán)利要求8所述防御系統(tǒng),其特征在于所述地址解析協(xié)議代 理部(201)為獨(dú)立裝置或于相關(guān)裝置上的功能部件或者軟件。
10. 根據(jù)權(quán)利要求8所述防御系統(tǒng),其特征在于所述橋接裝置(200) 為交換機(jī)或路由器。
全文摘要
本發(fā)明屬于網(wǎng)絡(luò)安全防御領(lǐng)域,具體涉及一種對(duì)地址解析協(xié)議請(qǐng)求報(bào)文進(jìn)行加密處理的數(shù)據(jù)通信網(wǎng)絡(luò)安全防御方法及系統(tǒng)。防御方法通過(guò)請(qǐng)求端將信息單向發(fā)送到加密部進(jìn)行加密處理,再通過(guò)地址解析協(xié)議代理部對(duì)加密信息進(jìn)行解密、確認(rèn)后將查詢信息單向發(fā)給所述請(qǐng)求端,由請(qǐng)求端根據(jù)確認(rèn)信息與目的端進(jìn)行通訊。該防御方法借助包括地址解析協(xié)議代理部、具有加密功能的轉(zhuǎn)接裝置和通訊終端組成的防御系統(tǒng)來(lái)實(shí)現(xiàn)。本發(fā)明主管加密式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法原理簡(jiǎn)單,設(shè)計(jì)合理,該防御方法在實(shí)際應(yīng)用中能非常好的解決現(xiàn)有技術(shù)中存在的物理地址偽冒攻擊、物理地址泛濫攻擊和物理地址偽冒導(dǎo)致IP沖突等技術(shù)問(wèn)題,具有很高的實(shí)用性。
文檔編號(hào)H04L9/00GK101197659SQ20071012483
公開(kāi)日2008年6月11日 申請(qǐng)日期2007年12月7日 優(yōu)先權(quán)日2007年12月7日
發(fā)明者張南希, 潤(rùn) 焦 申請(qǐng)人:張南希
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1